Par Diane Aguayo

Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (« CNIL »), le gendarme français de la protection des données, a prononcé une amende record de 50 millions d’euros à l’encontre de Google LLC en application du Règlement Général sur la Protection des Données (RGPD) pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité.

Est-ce que le Préposé fédéral à la protection des données et à la transparence (PFPDT) suisse aurait pu prononcer une telle amende à l’encontre de Google au regard du projet de révision de la Loi fédérale sur la protection des données (P-LPD) ? Rien n’est moins sûr…

Sur quels fondements s’appuie la décision de la CNIL ?

La CNIL a constaté une information insatisfaisante et un manquement aux articles 12 et 13 du RGDP qui établissent les obligations de transparence et d’information tout comme aurait pu le constater le PFPDT vis-à-vis de l’article 17 P-LPD en matière de devoir d’information lors de la collecte de données personnelles.

A l’instar de la CNIL qui a constaté une information insatisfaisante et une absence de consentement valable pour la personnalisation de la publicité en violation de l’article 6 du RGPD (« Licéité du traitement »), le PFPDT aurait pu relever un manquement au devoir étendu d’information en cas de traitement de données à caractère personnel tel que défini à l’article 17 du P-LPD.

Pas d’action collective

En mai 2018, une association autrichienne ainsi qu’une association française de défense des droits et libertés des citoyens sur Internet déposait devant la CNIL une plainte contre Google au nom de 12 000 personnes.

Contrairement au RGDP (article 80), le P-LPD ne prévoit pas de système d’exercice collectif des droits (« class action »). Le PFPDT n’aura donc jamais pu être saisi par des particuliers mandatant une association active dans le domaine de la protection afin d’être représentés.

Un rôle d’information et de conseil, sans pouvoir de sanction

Les pouvoirs du PFPDT sont renforcés par le P-LPD; il aurait pu ainsi ouvrir une enquête à l’encontre de Google en cas de soupçons. Néanmoins, après avoir constaté des manquements au P-LPD, le PFPDT ne pourrait que menacer Google de sanction (art. 57 P-LPD), des sanctions ne pouvant être imposées que dans le cadre de procédures pénales. Les recommandations de bonnes pratiques adoptées par le PFPDT sont sans force obligatoire.

Des amendes très relatives

Le RGPD prévoit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise (soit le montant le plus élevé des deux). La CNIL a sanctionné Google à hauteur de 50 millions d’euros. Si certains déplorent une sanction très faible en comparaison du chiffre d’affaire annuel de près de 110 milliards de dollars de Google, le montant de l’amende reste bien supérieur à celui prévu par le P-LPD. Le montant maximal de l’amende prévu par le P-LPD s’élève à CHF 250’000 francs.- (articles 54 à 60 du P-LPD).

Est-ce qu’une entreprise telle que Google pourrait être ciblée par le P-LPD ?

Ce sont surtout des individus plutôt que des entreprises qui seront visés par le P-LPD. En effet, contrairement au RGPD, seules les personnes physiques qui contreviennent aux dispositions du P-LPD, et non une entreprise ou une fondation, peuvent faire l’objet d’amendes de plus de CHF 50’000.

Conclusion

Dans le cadre de la protection des données, la Suisse bénéficie depuis 2000 d’une décision d’adéquation de la Commission européenne, i.e. que cette dernière a constaté que la Suisse dispose d’un niveau de protection adéquat des données.

Sans un rapprochement du P-LPD avec le RGPD pour garantir un niveau d’exigence maximal en matière de protection des données et le maintien de la décision d’adéquation de l’UE, la Suisse risque d’attirer des sociétés étrangères à la recherche d’un régime plus souple au détriment de la protection des données à caractère personnel des résidents suisses.